IP MAN中MPLS VPN部署和業務應用

付振華，吳余輝

（中國聯合網絡通信有限公司荊州分公司荊州 434000）

1 引言

中國聯合網絡通信有限公司 （以下簡稱中國聯通）MPLS VPN業務是在公共IP網絡平臺上，采用多協議標記交換（multi protocol label switch，MPLS）技術建立用戶數據傳送通道，為用戶提供廣域網的路由設備連接，利用運營商網絡平臺，建立用戶自有網絡架構，幫助用戶實現數據、語音、視頻等多種業務在虛擬專用網絡（virtual private network，VPN）內傳輸，且不同用戶的網絡之間相互隔離。

2 應用背景

2.1 CNC Network的局限性

圖1所示為CNC Network的系統架構。

CNC Network作為中國聯通MPLS VPN的承載網絡，面向全國性組建VPN專網業務，PE路由器在地市暫時只部署一套。用戶接入普遍采用以下兩種方式，如圖2所示。

無論采用哪種方式，用戶需直接接入CNC Network的PE路由器，要占用本地光纖資源和寶貴的進局資源，同時每條專線均需進行本地MSTP、SDH傳輸網絡或光纜纖芯資源調度，建設開通周期較長。

2.2 IP城域網內MPLS VPN業務需求

隨著客戶經營網點的增加，對專線接入的點對多點能力的要求越來越高，采用傳統的ATM/FR或DPLC電路方式接入成本很大。由于VPN方式的便利性，大量客戶已經組建基于互聯網的VPN業務。但基于互聯網的VPN業務受限于匯聚點VPN網關的業務能力和安全性，很難提供電信級的服務質量保證。由于MPLS VPN具有良好的可擴展性和靈活性，技術上比較成熟，而且已經形成國家標準，在安全性和可靠性上為大多數客戶所認可，用戶只需配備CE設備，不需要VPN網關投資，滿足了客戶實現企業信息化建設、降低管理運作成本的需求。

圖1 CNC Network的系統架構

圖2 用戶接入普遍采用的兩種方式

3 IP MAN中MPLS VPN部署難點

3.1 設備和帶寬資源

由于VPN業務的多點匯聚特性和用戶對業務帶寬需求的增加，在IP MAN中要實現MPLS VPN部署，首先要解決設備和帶寬資源的問題。經過城域網擴容和網絡調整，中國聯合網絡通信有限公司荊州分公司（以下簡稱荊州聯通）城域網已經達到預期的目標網絡，地市城域網內部結構的調整也已基本完畢，公眾用戶和網管業務的流量模型已達到前期規劃的目標，設備的升級已達到目標版本，達到了MPLS VPN部署的條件。

3.2 MPLS VPN體系架構的缺陷

城域網的典型結構是核心—匯聚—接入3層模型，設備性能依次下降，網絡規模依次擴大。在一個分層網絡中如何部署PE節點，將PE部署到核心層、匯聚層，還是接入層?這是網絡設計中遇到的問題。

PE設備接入用戶需要大量接口，處理用戶報文需要大容量的內存和轉發能力，且由于成本原因只能在某一個層次部署PE。部署在核心層存在擴展性問題，PE設備向網絡邊緣的擴展會有困難。部署在接入層會導致網絡成本巨高，對運營商來說毫無價值，改變網絡分級的建設模式則會破壞IP城域網分級化的高可靠、高可管理性的優勢。因此權衡后在匯聚層部署PE，同時依靠PON網絡的高帶寬和扁平化減少接入層的瓶頸。

4 IP MAN中MPLS VPN部署實現方法

4.1 現網組網分析和方案制定

根據擴展方式的不同MPLS VPN可以分為BGP擴展實現的MPLS VPN和LDP擴展實現的VPN。根據PE設備是否參與VPN路由又細分為二層VPN和三層VPN。綜合考慮后選擇BGP擴展實現的MPLS L3 VPN。

荊州聯通城域網出口使用兩臺NE5000E作為核心路由器，分別上連到省干的GSR設備。NE40作為匯聚路由器SR，匯聚本節點內的OLT、匯聚交換機等業務。

接入層通過二層VLAN透傳至匯聚層設備 （BAS或SR），在二層實現業務的安全隔離和接入，城域網匯聚路由器SR作為PE路由器進行業務安全隔離，匯聚層上行至城域網核心路由器。

城域網核心路由器NE5000E兼作RR，解決本城域網內PE路由器的MPLS VPN的MP-IBGP全互聯問題。

城域網核心路由器NE5000E作為ASBR上行到省網骨干，SR與RR之間建立MP-IBGP鄰居，PE設備之間不再建立IBGP鄰居，PE設備在MP-IBGP的VPN實例中通過Network發布本地匯聚的私網路由。

4.2 VPN業務實現方式

本地大客戶業務VPN的命名及RD、RT按照用戶的需求進行規劃。本地城域網內相同級別大客戶之間互訪的流量之間通過PE建立LSP直接訪問而不需要繞道省VPN匯聚路由器；跨地市之間大客戶之間流量的互訪，通過省網匯聚路由器跨域連接，實行業務的隔離和VPN內的互聯。由于荊州城域網的AS與省VPN匯聚路由器所在的AS不同，需要與省VPN匯聚路由器之間部署跨域VPN，如option B方式。

4.3 MPLS VPN路由模式

·MP-IBGP：荊州城域網核心設備NE5000E作為ASBR又兼作荊州VPN的路由反射器。RR路由反射器與各PE設備之間建立MP-IBGP鄰居關系，各PE設備之間不再建立MP-IBGP鄰居。

·IGP：在MPLS VPN中，IGP路由主要是為了保證BGP next hop或者PE Loopback 0地址的可達性。現網部署ISIS路由協議作為MPLS VPN的核心IGP，但在部署過程中需要注意的是不能對 PE loopback 0或者BGP next hops地址進行路由匯聚，以免切斷LSP路徑。

·PE-CE路由：PE-CE間路由協議用于在PE-CE間相互擴散VPN內部用戶路由，考慮到現網大客戶的接入方式，客戶分支機構通信流量不太大并且地址段一般穩定不變，采用靜態路由的接入方式，配置簡單，易于維護。

如果客戶分支機構之間需要限制某些機構的相互通信或者指定通過核心點的用戶路由器進行轉發通信，可通過路由策略來限制路由分布以實現客戶的需求。

4.4 CE接入方式

對于VPN CE側接入，PE與接入側交換機之間使用二層trunk，在PE側配置子接口封裝dot1Q作為用戶的網關來終結VLAN，在交換機側為不同的客戶配置不同的VPN進行隔離，并將VLAN透傳至PE設備。具體網絡拓撲如圖3所示。

第一種方案：接入層從純二層VLAN透傳，網關在PE（NE40）上面終結，此方案客戶投入少，無需新增路由器，地址可由中國聯通來規劃，也可按用戶需求來規劃。

第二種方案：從接入層 CE至PE（NE40）之間為三層接入，此方案適用于客戶具有路由器及局域網，有自己的地址規劃，無需改變用戶現有網絡模式。

根據實際情況這兩種方案可靈活使用。

4.5 地址規劃

·互聯地址：城域網VPN部署IGP及MP-IBGP的互連與Loopback地址使用113.56.0.0/24地址段（專用地址段）。用于MP-IBGP Peer使用的Loopback 255，在規劃的地址段中從后往前分配，使用32位掩碼。用于PE與RR、RR之間互連的接口地址，在規劃的地址段中從前往后分配，使用30位掩碼。ISIS命名，按照AS+4位區號+Loopback 255地址+00的原則來配置。

·用戶地址：客戶對內運行的地址段建議采用私有IP地址，有助于提高網絡安全性和避免內網訪問互聯網的問題。

圖4 PON+LAN或MC+LAN兩種接入方式

5 業務應用

5.1 超市行業

好鄰居定位為中小型社區超市，其隨著業務發展在荊州有幾十家店面，采用電腦管理營銷等環節，之前租用我公司DPLC數字電路，費用較高。在IP MAN中MPLS VPN部署完成后，通過PON+LAN或MC+LAN接入用戶店面，實際上利用IP MAN的覆蓋網絡實現經濟快速的業務接入，而且寬帶、語音業務可以同步實現，節省了設備和線路投資，且由于光纜工程僅需要從用戶端布放到最近的分光器或光接入點，開通時間也縮短了。圖4所示為PON+LAN或MC+LAN兩種接入方式。

5.2 金財工程

“金財工程”即政府財政管理信息系統（GFMIS），是利用先進的信息技術支撐以預算編制、國庫集中支付和宏觀經濟預測分析為核心應用的政府財政管理綜合信息系統。荊州聯通承建荊州市財政局橫向連接市（地）本級預算單位、收入職能部門、人民銀行市（地）級國庫分庫、承擔支付代理和非稅收入代理的商業銀行分支機構的三級骨干網。

圖5 通過平板電腦或手機查看網絡情況效果

項目需接入近200家單位，如按傳統DPLC方式開通建設成本非常高，在和用戶溝通后，用戶決定采納MPLS VPN組網，PON接入網采用FTTO全程無源光接入。在保證服務質量的同時大量縮短開通時間，節省了后期維護成本。通過MAC地址捆綁還可以實現用戶終端接入管理。同時由于IP域網管可通過SNMP方式對ONU接入設備實施監控管理。用戶通過平板電腦或手機就可以方便地查看各接入單位的網絡情況，如圖5所示，為用戶提供定制化服務。

6 結束語

由于成本和效益方面的優勢，MPLS VPN已成為國內各大電信運營商爭相發展的新業務。通過在IP MAN中部署MPLS VPN，不僅可以滿足本地客戶對分支接入點越來越高的帶寬要求，實現較低成本的接入，更能通過IP域網管實現對用戶業務的實時監控和管理控制等增值服務，滿足用戶更多個性化的需求。

1 華為技術公司.MPLS VPN部署方案

2 Jim G,Ivan P著.田果，劉丹寧，沈錚譯.MPLS和VPN體系結構.北京：人民郵電出版社，2010